Bildrechte
Getty Images
In der Covid-19-App zur Kontaktverfolgung, die auf der Isle of Wight getestet wird, wurden weitreichende Sicherheitslücken gemeldet.
Das Die beteiligten Sicherheitsforscher haben vor den Problemen gewarnt stellen ein Risiko für die Privatsphäre der Benutzer dar und können missbraucht werden, um das Senden von Ansteckungswarnungen zu verhindern.
Das National Cyber Security Center (NCSC) des GCHQ teilte der BBC mit, dass es bereits über die meisten der angesprochenen Probleme informiert sei und diese derzeit angehen werde.
Die Forscher schlagen jedoch vor, dass ein grundlegenderes Umdenken erforderlich ist.
Insbesondere fordern sie neuen Rechtsschutz, um zu verhindern, dass Beamte die Daten für andere Zwecke verwenden, als um diejenigen zu identifizieren, bei denen das Risiko einer Infektion besteht, oder um sie auf unbestimmte Zeit zu behalten.
Darüber hinaus schlagen sie vor, dass der NHS erwägt, von seinem aktuellen "zentralisierten" Modell – bei dem der Kontaktabgleich auf einem Computerserver stattfindet – zu einer "dezentralisierten" Version überzugehen, bei der der Abgleich stattdessen auf den Telefonen von Personen erfolgt.
"Es kann immer noch Fehler und Sicherheitslücken im dezentralen oder im zentralisierten Modell geben", sagte Dr. Vanessa Teague, Geschäftsführerin von Thinking Cybersecurity.
"Der große Unterschied besteht jedoch darin, dass eine dezentrale Lösung keinen zentralen Server mit den aktuellen persönlichen Kontakten jeder infizierten Person haben würde.
"Es besteht also ein viel geringeres Risiko, dass diese Datenbank durchgesickert oder missbraucht wird."
Gesundheitsminister Matt Hancock sagte am Montag, ein neues Gesetz sei "nicht erforderlich, weil das Datenschutzgesetz die Aufgabe übernehmen wird".
Und NHSX – die digitale Innovationseinheit des Gesundheitsdienstes – hat erklärt, dass die Verwendung des zentralisierten Modells sowohl die Verbesserung der App im Laufe der Zeit erleichtert als auch Warnmeldungen basierend auf den selbst diagnostizierten Symptomen der Menschen und nicht nur auf medizinischen Testergebnissen auslöst.
Die Medienwiedergabe wird auf Ihrem Gerät nicht unterstützt
Vielfältige Risiken
Die Forscher beschreiben sieben verschiedene Probleme, die sie mit der App gefunden haben.
Sie beinhalten:
- Schwachstellen im Registrierungsprozess, die es Angreifern ermöglichen könnten, Verschlüsselungsschlüssel zu stehlen, wodurch verhindert werden könnte, dass Benutzer benachrichtigt werden, wenn ein Kontakt positiv auf Covid-19 getestet wurde, und / oder gefälschte Übertragungen generiert werden, um Protokolle mit falschen Kontaktereignissen zu erstellen
- Speichern unverschlüsselter Daten auf Mobilteilen, die möglicherweise von Strafverfolgungsbehörden verwendet werden könnten, um festzustellen, wann sich zwei oder mehr Personen getroffen haben
- Generieren eines neuen zufälligen ID-Codes für Benutzer einmal am Tag und nicht alle 15 Minuten, wie dies bei einem von Google und Apple entwickelten Konkurrenzmodell der Fall ist. Die längere Lücke ermöglicht es theoretisch festzustellen, ob ein Benutzer eine Affäre mit einem Arbeitskollegen hat oder jemanden nach der Arbeit trifft
"Die Risiken sind insgesamt unterschiedlich", sagte Dr. Chris Culnane, der zweite Autor des Berichts, gegenüber BBC News.
"In Bezug auf die Registrierungsprobleme ist das Risiko relativ gering, da ein Angriff auf einen gut geschützten Server erforderlich wäre, was wir nicht für besonders wahrscheinlich halten.
"Das Risiko für unverschlüsselte Daten ist jedoch höher, denn wenn jemand Zugriff auf Ihr Telefon erhält, kann er möglicherweise zusätzliche Informationen erhalten, da diese darauf gespeichert sind."
Ian Levy, technischer Direktor von NCSC bloggte, dankte den beiden Forschern für ihre Arbeit und versprach, die Probleme anzugehen sie identifizierten.
Aber er sagte, es könnte mehrere Versionen der App dauern, bis alle Probleme behoben sind.
"Alles, was dem Team gemeldet wird, wird ordnungsgemäß getestet (obwohl dies länger als normal dauert)", schrieb er.
Ein NCSC-Sprecher sagte: "Es wurde immer gehofft, dass Maßnahmen wie die Freigabe des Codes und die Erläuterung der Entscheidungen hinter der App zu einer sinnvollen Diskussion mit der Sicherheits- und Datenschutzgemeinschaft führen würden.
"Wir freuen uns darauf, weiterhin mit Sicherheits- und Kryptografieforschern zusammenzuarbeiten, um die App so gut wie möglich zu machen."
Bildrechte
Getty Images
Die Bewohner der Isle of Wight testen die NHS Covid-19-App vor einem geplanten nationalen Rollout
Dr. Culnane sagte jedoch, dass die Politiker das Thema ebenfalls erneut prüfen müssten.
"Ich bin zuversichtlich, dass sie die technischen Probleme beheben werden", sagte er.
"Es gibt jedoch umfassendere Probleme im Zusammenhang mit dem Mangel an Rechtsvorschriften zum Schutz der Verwendung dieser Daten (einschließlich der Tatsache), dass es keine strenge Beschränkung gibt, wann die Daten gelöscht werden müssen.
"Das steht im Gegensatz zu Australien, das sehr strenge Grenzen für das Löschen seiner App-Daten am Ende der Krise hat."
In der Zwischenzeit gab Harriet Harman, Vorsitzende des Menschenrechtsausschusses des Parlaments, bekannt, dass sie um Erlaubnis ersucht, einen Gesetzentwurf für ein privates Mitglied einzuführen, um zu begrenzen, wer die von der App gesammelten Daten verwenden kann und wie und einen Wachhund zur Behandlung damit zusammenhängender Beschwerden der Öffentlichkeit zu erstellen.
"Ich persönlich würde die App selbst herunterladen, selbst wenn ich mir Sorgen darüber mache, wofür die Daten verwendet werden", sagte der Labour-Abgeordnete gegenüber BBC News.
"Mein Ausschuss war jedoch der Ansicht, dass diese App nur dann verwendet werden sollte, wenn (die Regierung) bereit ist, den Schutz der Privatsphäre einzurichten."